Benutzer-Werkzeuge

Webseiten-Werkzeuge


plattform-migration:netzplan

Netzplan

bestehende Netze

  • 213.144.137.160/27
  • 213.144.137.32/29
  • 2001:1620:2001::/48

aktuelle Netztabelle

213.144.137.33 r1zlz1.core.init7.net. Default Router Init7
213.144.137.34 knox.trash.net. 22/TCP 443/TCP
25/TCP
53/TCP 53/UDP
SSH
Postfix
DNS
213.144.137.35 dnssec2.trash.net. 53/TCP 53/UDP DNS
213.144.137.36 dnssec3.trash.net. 53/TCP 53/UDP 953/TCP DNS rekursiv
213.144.137.37 aktiv
213.144.137.38 aktiv
213.144.137.39 Broadcast
213.144.137.161 inetgw.trash.net. Default Router Init7
213.144.137.162 stinky.trash.net. 21/TCP
22/TCP 443/TCP
25/TCP 465/TCP 587/TCP
993/TCP 995/TCP
5223/TCP 5269/TCP
6667/TCP
FTP
SSH
Postfix
Dovecot
Jabber
IRCD
213.144.137.163 bge1-6.stinky.trash.net. 443/TCP STunnel
213.144.137.164 frei
213.144.137.165 frei
213.144.137.166 frei
213.144.137.167 frei
213.144.137.168 cloud.trash.net. 443/TCP 80/TCP Owncloud
213.144.137.169 cloud2.trash.net. cloud2.trash.net.
213.144.137.170 dnssec1.trash.net. 53/TCP 53/UDP 953/TCP DNS
213.144.137.171 t.trash.net. 53/UDP DNS-Tunnel
213.144.137.172 bge1-3.stinky.trash.net. aktiv
213.144.137.173 bge1-4.stinky.trash.net. aktiv
213.144.137.174 bge1-5.stinky.trash.net. aktiv
213.144.137.175 frei
213.144.137.176 frei
213.144.137.177 frei
213.144.137.178 frei
213.144.137.179 frei
213.144.137.180 www.trash.net. 443/TCP 80/TCP verschiedene Trash-Sites
213.144.137.181 spam.trash.net. 443/TCP 80/TCP User-Sites
213.144.137.182 bge1-10.stinky.trash.net. 443/TCP 80/TCP verschiedene Project-Sites
213.144.137.183 bge1-11.stinky.trash.net. 443/TCP 80/TCP Apache frei
213.144.137.184 bge1-12.stinky.trash.net. 443/TCP 80/TCP Allmend-Sites
213.144.137.185 frei
213.144.137.186 frei
213.144.137.187 frei
213.144.137.188 frei
213.144.137.189 frei
213.144.137.190 frei
213.144.137.191 Broadcast
2001:1620:2001::1 Router Init7
2001:1620:2001::10 stinky.trash.net. 21/TCP
22/TCP
25/TCP 465/TCP 587/TCP
993/TCP 995/TCP
53/TCP 53/UDP
FTP
SSH
Postfix
Dovecot
DNS
2001:1620:2001::11 dnssec1.trash.net. 53/TCP 53/UDP
443/TCP
DNS
Stunnel
2001:1620:2001::12 cloud2.trash.net.
2001:1620:2001::13 www.trash.net. 443/TCP 80/TCP verschiedene Trash-Sites
2001:1620:2001::14 cloud.trash.net. 443/TCP 80/TCP Owncloud
2001:1620:2001::15 virtserv.trash.net. 443/TCP 80/TCP User-Sites
2001:1620:2001::20 knox.trash.net 22/TCP
25/TCP
53/TCP
SSH
Postfix
DNS
2001:1620:2001::21 dnssec3.trash.net. 53/TCP 53/UDP DNS rekursiv
2001:1620:2001::22 dnssec2.trash.net. 53/TCP 53/UDP DNS

Vorschlag neuer Netzplan

Überlegungen

  • die DNS Server sind samt IP Adressen bei den verschiedenen Registrars eingetragen. Eine Anpassung der IP-Adressen muss sorgfältig geplant werden. Daher macht es wohl Sinn die alten Adressen zu übernehmen. Allerdings ist es fraglich ob es zweckmässig ist knox weiterhin im zweiten IPv4 Netz zu betreiben.
  • Der Verweis von Webservernamen via CNAME auf virthost.trash.net klappt nur bei FQDN-Hostnamen, nicht aber bei Domainnamen. So kann z.B. allend.ch nicht mittels CNAME operieren. Deshalb müsste ein DNS-Failover direkt im Zonenfile von allmend.ch gemacht werden. (Anmerkung: dann wäre es einfacher, beim Ausfall eines Webservers seine IP-Adresse einfach auf die andere VM zu übernehmen. Wenn die Apache-Konfigurationen identisch sind, geht dies ohne Konfigurationsänderungen)
  • Die Proxyserver sollen weiterhin nur über das grüne Interface zugänglich sein und via SSH-Tunnel genutzt werden. Daher könnte man den Proxyservice gleich auf dem Shellserver betreiben statt in einer eigenen VM (Anmerkung: Man muss hier unterscheiden zwischen dem internen Proxy und demjenigen für die User. Der interne Proxy (auf web1/web2) dient lediglich als Cache für die VM. Bei mehreren VM wäre es schade, wenn bei Updates x-mal die gleichen Inhalte vom Mirror geladen werden.
  • Stunnel und DNS-Tunnel dienen als alternativer Zugang zu SSH für den Zugriff auf den Shellserver
  • Der bisherige DB-Zugriff via Unix-Socket muss überall auf Netz-Socket umdefiniert werden
  • es ist noch zu klären ob die NTP-Server nicht nur Privat sondern auch Public angeboten werden
  • die NTP-Server sind auf den beiden DNS-Server platziert, da dort möglichst gleichmässiger Load sein sollte. Wenn eine VM zeitweise keinen Load hat (was beim Shell- oder Web-Server der Fall ist), bezieht sie beim Hypervisor auch keine CPU-Zeit und dann beginnt die Uhr ungenau zu gehen. Dies bewegt sich im Bereich von 10 bis 40ms, ist für einen NTP-Server aber ungünstig.
  • die Namensauflösung für die grüne Zone local soll im hosts-File gemacht werden, welches auf jede VM verteilt wird.

Service-IPs

  • Service-IPs werden in der grünen Zone eingesetzt, damit mehrere Dienste auf einer Maschine unterschiedlich adressiert werden. Der Use-Case dafür sind VM, die mehrere Funktionen haben.
    • Falls ein einzelner Service auf einer VM nicht mehr in Betrieb genommen werden kann, dann kann die jeweilige Service-IP auf ihre Partner-Maschine umgezogen werden. Dies würde nicht gehen, wenn mehrere Services über dieselbe IP adressiert werden.
    • Es wird keine Service-IP verwendet, falls eine VM nur eine einzelne Funktion übernimmt.
    • Der dnssec3 ist ein rekursiver DNS und hat zur Zeit nach innen und aussen die gleiche Funktion. Zukünftig könnte sich das aber ändern, deshalb wird die interne Namensauflösung über eine Service-IP angesprochen.
    • NTP ist auf ns1/ns2 und nutzt eine Service-IP, damit er später einmal einfach umgezogen werden könnte.
  • Es gibt einen Typ Service-IP - transient, bei der ein Dienst auf einer Maschine eine IP hat und diese zwischen Hosts verschoben werden kann. Der Failover hängt dabei vom Admin ab, der die IP umziehen muss.
  • Es gibt einen zweiten Typ Service-IP - persistent, bei der ein Dienst auf zwei Maschinen zwei IP hat und die nicht verschoben wird. Der Failover hängt dann davon ab, dass die Clients beide IPs kennen und selber bemerken, dass sie wechseln müssen.

Tabelle

Service Host Interface Adresse Bemerkungen
Hypervisor box1.local eth0 - Crosslink box2
eth2 - Crosslink box2
bond0 - Portchannel eth0/eth2
bond0.5 fdd9:35eb:9824:5::1/126 DRBD-Replikation
bond0.5 172.31.4.129/30 DRBD-Replikation
br1 fdd9:35eb:9824:6::1 -
br1 fdd9:35eb:9824:6::3 Service-IP NFS
eth1 172.31.4.1/30 Crosslink IPMI box2
IPMI 172.31.4.6/30 lokales IPMI
box2.local eth0 - Crosslink box1
eth2 - Crosslink box1
bond0 - Portchannel eth0/eth2
bond0.5 fdd9:35eb:9824:5::2 DRBD-Replikation
bond0.5 172.31.4.130/30 DRBD-Replikation
br1 fdd9:35eb:9824:6::2 -
eth1 172.31.4.5/30 Crosslink IPMI box1
IPMI 172.31.4.2/30 lokales IPMI
Shellserver access1.trash.net eth1 213.144.137.164 zus. Stunnel DNS-Tunnel
eth1 2001:1620:2001::164 -
access1.local eth0 fdd9:35eb:9824:6::164 -
access2.trash.net eth1 213.144.137.165 zus. Stunnel DNS-Tunnel
eth1 2001:1620:2001::165 -
access2.local eth0 fdd9:35eb:9824:6::165 -
Mailserver mail.trash.net mail1.trash.net eth1 213.144.137.166 zus. Submission IMAPS POPS
eth1 2001:1620:2001::166 -
mail1.local eth0 fdd9:35eb:9824:6::166 -
mail2.trash.net eth1 213.144.137.167 zus. Submission IMAPS POPS
eth1 2001:1620:2001::167 -
mail2.local eth0 fdd9:35eb:9824:6::167 -
DNS-Server ns1.trash.net eth1 213.144.137.186 DNS authoritativ
resolv1.trash.net eth1 213.144.137.187 Public Resolver
eth1 2001:1620:2001::186 DNS authoritativ
resolv1.trash.net eth1 2001:1620:2001::187 Public Resolver
ns1.local eth0 fdd9:35eb:9824:6::186 -
eth0 fdd9:35eb:9824:6::187 -
eth0 fdd9:35eb:9824:6::e53 interner DNS-Resolver
eth0 fdd9:35eb:9824:6::e123 interner NTP
ns2.trash.net eth1 213.144.137.188 DNS authoritativ
resolv2.trash.net eth1 213.144.137.189 Public Resolver
eth1 2001:1620:2001::188 -
resolv2.trash.net eth1 2001:1620:2001::189 Public Resolver
ns2.local eth0 fdd9:35eb:9824:6::188 -
eth0 fdd9:35eb:9824:6::189 -
eth0 fdd9:35eb:9824:6::f53 interner DNS-Resolver
eth0 fdd9:35eb:9824:6::f123 interner NTP
DB Server db1.local eth0 fdd9:35eb:9824:6::500 -
eth0 fdd9:35eb:9824:6::e389 Service-IP LDAP
eth0 fdd9:35eb:9824:6::e336 Service-IP MySQL
db2.local eth0 fdd9:35eb:9824:6::501 -
eth0 fdd9:35eb:9824:6::f389 Service-IP LDAP
eth0 fdd9:35eb:9824:6::f336 Service-IP MySQL
Web trash.net web1.trash.net eth1 213.144.137.178 www.trash.net u.a.
eth1 2001:1620:2001::178 www.trash.net u.a.
web1.local eth0 fdd9:35eb:9824:6::178 -
eth0 fdd9:35eb:9824:6::e80 interner Proxy
web2.trash.net eth1 213.144.137.179 www.trash.net u.a.
eth1 2001:1620:2001::179 www.trash.net u.a.
web2.local eth0 fdd9:35eb:9824:6::179 -
eth0 fdd9:35eb:9824:6::f80 interner Proxy
Web Sites web11.trash.net eth1 213.144.137.176 Projet Home Pages
eth1 2001:1620:2001::176 Projet Home Pages
web11.local eth0 fdd9:35eb:9824:6::176 -
web12.trash.net eth1 213.144.137.177 Projet Home Pages
eth1 2001:1620:2001::177 Projet Home Pages
web12.local eth0 fdd9:35eb:9824:6::177 -
Monitoring mon1.local eth0 fdd9:35eb:9824:6::502 -
eth0 fdd9:35eb:9824:6::e514 interner Syslog
Messaging msg.local eth0 fdd9:35eb:9824:6::172 -
lists.trash.net eth1 213.144.137.172 Mailinglists, Jabber zus. ev. IRCD
knox VM knox.trash.net eth1 213.144.137.34 DNS/Postfix
eth1 213.144.137.35 DNS dnssec2.trash.net.
eth1 213.144.137.36 DNS dnssec3.trash.net.
eth1 2001:1620:2001::20 DNS/Postfix
eth1 2001:1620:2001::21 DNS dnssec3.trash.net.
eth1 2001:1620:2001::22 DNS dnssec2.trash.net.
knox.local eth0 fdd9:35eb:9824:6::34 -
stinky VM stiny.trash.net eth1 213.144.137.162 DNS/Postfix
eth1 213.144.137.170 DNS dnssec1.trash.net.
eth1 2001:1620:2001::10 DNS/Postfix
eth1 2001:1620:2001::11 DNS dnssec1.trash.net.
stinky.local eth0 fdd9:35eb:9824:6::162 -

unfertig:

Service Host Interface Adresse Bemerkungen
Proxyserver proxy.local proxy1.local ULA::6 ev. auf Shellserver
proxy2.local ULA::7 ev. auf Shellserver
plattform-migration/netzplan.txt · Zuletzt geändert: 2016/06/25 07:42 von otr4ta